基于移动IPv6的身份认证体系.pdfVIP

2007年11月 绵阳师范学院学报 Nov．，2007 第26卷 第l1期 Journal of Mianyang Normal Universi V01．26 No．11 基于移动IPv6的身份认证体系 蒲志强 ，冯山 (1．绵阳师范学院数学与信息科学系，四川绵阳 621000；2．四川师范大学数学与软件科学学院，四川成都 610066； 3．四川师范大学计算机科学学院，四川成都 610066) 摘 要：随着移动通信的迅速发展，通信实体之间的身份认证日益成为研究的重点。IEIT提出的移动IPv6 中IPSec安全协议和RRP机制虽然能用于保护相关通信节点之间的通信信令，但在通信过程中IPSee安全协议和 RRP机制却不能解决通信实体身份认证问题，本文对目前所提出的基于证书认证和基于身份认证两种认证方法进 行分析比较，指出两种方法在认证上的优点和不足，最后针对具体应用提出了建议。 关键词：移动IPv6；IPSec；证书认证；身份认证 中图分类号：TP311．1 文献标识码：A 文章编号：1672-612x(2007)11-0090-05 在移动IPv6中，潜在的安全问题有许多是因绑定失败所造成的0移动IPv6解决路由优化策略是在家 乡代理(Home Agent，简称：HA)己有绑定关系注册的前提下，通信对端(Correspondence Node，简称：CN)注 册家乡地址(Home—of address，简称：HoA)和转交地址(Care—of address，简称：CoA)的绑定关系，以实现通 信对端和移动节点之问的直接通信，从而解决三角路由问题。注册通信对端的绑定过程本身存在着通信 对端身份认证不确定性的安全隐患。例如，攻击者可以向家乡代理发送伪装的注册信息；攻击者也可能使 用移动节点的家乡地址，把伪造的绑定更新发送到通信对端；攻击者还可以通过重定向的数据分组试图成 为移动节点和通信对端之间的中间人，把自己伪装成移动节点等等，从而导致安全方面的数据的完整性和 可用性问题。为解决路由优化中的通信对端身份认证问题，IETF(Intemet Engineering Task Force)在移动 IPv6协议中定义了返回路由性过程(Return Routability Procedure，简称：RRP)，通过该过程协商产生家乡密 钥生成令牌和转交密钥生成令牌，移动节点(Mobile Node，简称：MN)再利用协商得到的家乡密钥生成令牌 和转交密钥生成令牌创建绑定管理密钥。绑定管理密钥在绑定更新过程中验证消息的完整性和身份的可 靠性。 本文从移动IPv6相关的安全协议出发，讨论此协议由于不能解决通信对端身份认证而造成的安全问 题以及相应身份认证的方法。 1 移动IPv6的通信机制 移动IPv6在协议 中定义了三种操作实体：移动节点、通信对端和家乡代理。移动IPv6中还新增了 四种目的地选项：绑定更新(Binding Update，简称BU)、绑定确认(Binding Acknowledgment，简称：BA)、绑定 请求(Binding Request，简称：BR) 和家乡地址。当MN离开本地链路时，它要向外地链路上的一个路由器 注册自己的一个转交地址。MN的HA得到CoA后，使用IPv6的邻居发现(Neighbor Discovery，简称：ND) 机制来截获发往移动节点的数据包。在本地以外的地方，MN传送数据包时，通常在IPv6报头中将CoA作 为源地址，并使用一个家乡地址目标选项，目的是通过这个选项把MN的HoA告诉给包的接收者。进行注 册时，移动节点先向家乡代理发送绑定更新消息。当通信节点需要更新某个绑定时，还可以发送一个绑定 请求消息到移动节点，移动节点再返回一个绑定更新消息。如果移动节点离开本地链路时，原来作为它本 地代理的路由器被别的路由器替换，这时移动节点就要利用IPv6中的“动态本地代理地址发现”机制动态 地在本地链路上发现一个新的本地代理的IP地址。 收稿日期：2007-04-23 作者简介：蒲志强(1975一 )，男，硕士研究生，讲师，主要研究方向：信息安全。 第11期 蒲志强等：基于移动IPv6的身份认证体系